Gli esperti di Zimperium hanno individuato un’imponente campagna malware, attiva da febbraio 2022, che prende di mira gli smartphone Android. Sfruttando migliaia di bot Telegram, i cybercriminali hanno distribuito quasi 107.000 malware per intercettare i codici OTP di oltre 600 servizi.
SMS stealer in 113 paesi
I codici OTP sono spesso utilizzati come secondo fattore di autenticazione, ma gli SMS possono essere intercettati in vari modi. I ricercatori di Zimperium hanno scoperto che i cybercriminali usano la tecnica del malvertising (link a siti con aspetto simile a quelli legittimi) per ingannare gli utenti e convincerli ad installare app tramite sideloading. Un altro metodo prevede l’uso di bot Telegram.
Questi bot sembrano servizi legittimi, invece chiedono all’ignara vittima di condividere il numero di telefono. Successivamente inviano un file APK che include il numero di telefono (serve per futuri attacchi). Zimperium ha individuato oltre 2.600 bot controllati da 13 server C&C (command and control). All’avvio delle app viene chiesto il permesso di leggere gli SMS, quindi i malware intercettano i codici OTP dell’autenticazione in due fattori.
Su circa 107.000 app/malware, il 95% sono sconosciute. Il maggior numero di vittime si trova in Russia e India. In totale sono 113 i paesi interessati, Italia inclusa. I ricercatori hanno notato che una delle app trasmette gli SMS ad una API endpoint di Fast SMS, un sito che permette l’acquisto di numeri di telefono virtuali in paesi stranieri.
Gli utenti dovrebbero prestare molta attenzione alle app scaricate da fonti sconosciute e alle richieste di accesso agli SMS o al numero di telefono. In molti casi si tratta di infostealer.